Linux: πως κολλάει τον ιό Fileless Malware

Fileless Malware σε Linux και πως κολλάει τον ιό

Οι ερευνητές ασφαλείας από την AT&T Alien Labs προειδοποιούν ότι έχουν αρχίσει και μολύνονται Linux μηχανήματα μέσω μιας τεχνικής εγκατάστασης Fileless κακόβουλου λογισμικού που μέχρι πρόσφατα ήταν πιο συχνά σε συστήματα Windows.

Τα τελευταία χρόνια έχουμε δει ότι οι χρήστες των Windows και macOS, δεν είναι οι μόνοι που πρέπει να έχουν τον νου τους για μόλυνση από κακόβουλο λογισμικό. Το Linux γίνεται ολοένα και πιο δημοφιλής στόχος για κακόβουλο λογισμικό λόγω της αυξανόμενης δημοτικότητας του και σε συσκευές IoT.

Η ασφάλεια στους υπολογιστές είναι μια ψευδαίσθηση. Διότι πολύ απλά, όπως έχουμε γράψει και παλιότερα:

Η ασφάλεια ΕΙΝΑΙ μια διαδικασία, ΌΧΙ ένα τελικό προϊόν.

ΠΗΓΗ: BRUCE SCHNEIER

Ένα malware, λοιπόν στοχεύει στην εκμετάλλευση σφαλμάτων στον τρόπο λειτουργίας των προγραμμάτων ώστε να αποκτήσει πόρους, δικαιώματα και γενικά πρόσβαση σε στοιχεία που δεν θα έπρεπε. Είτε σε βάσεις δεδομένων κωδικών, λογαριασμούς αυξημένων δικαιωμάτων, παρέμβαση στους τρόπους χρήσης του υλικού και της διανομής των πόρων του υπολογιστή κ.α.

Τι ακριβώς όμως είναι το Fileless malware, ποιά είναι η διαφορά του ως τεχνική επίθεσης από τα κλασσικά malware και πώς λειτουργεί αυτού του είδους επίθεση στο Linux; Θα προσπαθήσουμε σε αυτό το άρθρο να σας δώσουμε απαντήσεις επικεντρώνοντας την ανατομία της επίθεσης ώστε να έχετε τις απαραίτητες γνώσεις για την ασφάλεια των συστημάτων και των δεδομένων σας από αυτήν την κρυφή και κακόβουλη απειλή.

Fileless κακόβουλο λογισμικό

Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό που αξιοποιεί τα εκτελεστικά αρχεία για να μολύνει συστήματα, το Fileless κακόβουλο λογισμικό δεν βασίζεται σε αρχεία για να το επιτύχει. Όπως υποδηλώνει το όνομά του ο τύπος αυτός του κακόβουλου λογισμικού διεισδύει στη μνήμη τυχαίας προσπέλασης (RAM) ενός διακομιστή και εκμεταλλεύεται το υπάρχον, αξιόπιστο λογισμικό και εφαρμογές γνωστές ως LOLBins για να εγκαταστήσει και να εκτελέσει κακόβουλο κώδικα σε συστήματα προορισμού.

Αυτή η στρατηγική ουσιαστικά στροφής των συστημάτων εναντίον του εαυτού τους αναφέρεται ως «living off the land». Ο κακόβουλος κώδικας που έχει ληφθεί στο σύστημα προορισμού χρησιμοποιείται συχνά για την κρυπτογράφηση και την απομάκρυνση ευαίσθητων δεδομένων και τη μεταφορά τους απευθείας στα χέρια του εισβολέα. Οι επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία (Fileless) δεν αφήνουν ίχνη στα συστήματα που μολύνουν, καθώς όλη η κακόβουλη δραστηριότητα εκτελείται απευθείας στη μνήμη RAM και δεν δημιουργούνται αρχεία στον σκληρό δίσκο.

Επειδή το κακόβουλο κακόβουλο λογισμικό δεν χρησιμοποιεί εκτελέσιμα αρχεία για να μολύνει συστήματα Linux, είναι σε θέση να αποφύγει την ανίχνευση του από antivirus.

Πώς λειτουργεί μια επίθεση κακόβουλου λογισμικού στο Linux;

Οι επιθέσεις κακόβουλου λογισμικού χωρίς στόχους που στοχεύουν σε συστήματα Linux πραγματοποιούνται σε μια σειρά από σαφώς καθορισμένα βήματα, ξεκινώντας με μόλυνση μέσω της εκμετάλλευσης μιας ευπάθειας και τελειώνει με τον συμβιβασμό ενός διακομιστή και των δεδομένων που φιλοξενεί. Ας ρίξουμε μια πιο προσεκτική ματιά στο πώς λειτουργούν οι επιθέσεις κακόβουλου λογισμικού σε αρχεία Linux, αναλυμένες βήμα προς βήμα, για να σας βοηθήσουμε να κατανοήσετε καλύτερα αυτήν την αυξανόμενη απειλή για τα συστήματά σας και τα δεδομένα σας.

Αυτός ο τύπος επίθεσης ονομάζεται Advanced Volatile Threat (AVT) το οποίο μετά την επανεκκίνηση του επηρεαζόμενου συστήματος, όλος ο κακόβουλος κώδικας και το Fileless malware που υπάρχει σε αυτόν εξαφανίζονται, παρόλο έχει ήδη γίνει η ζημιά στο εν λόγω σύστημα.

Ας δούμε μερικούς τρόπους με τους οποίους ένα Linux σύστημα μπορεί να κολλήσει ένα τέτοιο ιό.

Μόλυνση μέσω εκμετάλλευσης ευπάθειας

Ενώ ένα κλασσικό κακόβουλο λογισμικό μπορεί να μολύνει τα συστήματα μέσω ενός συνδέσμου που παραδίδεται με ένα email ψαρέματος (phishing), το fileless malware μολύνει τα συστήματα Linux εκμεταλλευόμενα μια ευπάθεια όπως ένα ελάττωμα σε ένα πρωτόκολλο δικτύου ή σε μια προσθήκη Flash στον browser (που αρκετοί χρήστες χρησιμοποιούν ακόμα).

Για παράδειγμα, το κακόβουλο λογισμικό της TeamTNT που είχαμε γράψει παλιότερα εκμεταλλεύεται εσφαλμένες ρυθμίσεις παραμέτρων του Docker για να μετατρέψει τα ευάλωτα συστήματα σε DDoS bot και cryptominers.

Τροποποίηση διαδικασίας Linux

Μόλις αποκτήσει πρόσβαση στο σύστημα μέσω της εκμετάλλευσης ενός μη ενημερωμένου συστήματος, το κακόβουλο λογισμικό τροποποιεί και διακόπτει μια υφιστάμενη διεργασία του Linux χρησιμοποιώντας την κλήση συστήματος ptrace().

Αυτή η κλήση συστήματος χρησιμοποιείται συνήθως από προγράμματα εντοπισμού σφαλμάτων για τον έλεγχο και τη διαχείριση της εσωτερικής κατάστασης ενός λογισμικού και είναι χρήσιμη στην ανάπτυξη λογισμικού.

Εισαγωγή κακόβουλου κώδικα στη μνήμη

Μόλις το κακόβουλο λογισμικό διακόψει μια τρέχουσα διεργασία χρησιμοποιώντας το ptrace(), είναι σε θέση να ξεκινήσει την εισαγωγή κακόβουλου κώδικα στη μνήμη χωρίς να χρειάζεται εγγραφή στο δίσκο.

Αυτό επιτυγχάνεται συχνά εκμεταλλευόμενοι μια κατάσταση που ονομάζεται buffer overflow. Σε αυτή την κατάσταση ένα πρόγραμμα, ενώ γράφει δεδομένα σε ένα buffer (προσωρινή μνήμη), ή σε μια περιοχή μνήμης, υπερβαίνει το όριο του buffer και αντικαθιστά παρακείμενες θέσεις μνήμης.

Εκτέλεση κακόβουλου κώδικα – κατάληψη συστήματος

Το κακόβουλο λογισμικό εκμεταλλεύεται τα Python, Perl, С Compiler ή PHP (ανάλογα την επίθεση) που συνήθως είναι προεγκατεστημένα σε όλες τις διανομές Linux, για να εκτελέσει τον κακόβουλο κώδικα που έχει εισαγάγει στη μνήμη του συστήματος. Τοποθετώντας κακόβουλο κώδικα στον κατάλογο /dev/shm ή /run/shm (βλέπε σύστημα αρχείων Linux) μπορεί να εκτελέσει τον κώδικα απευθείας στη μνήμη RAM.

Μόλις εκτελεστεί ο κακόβουλος κώδικας, ο εισβολέας είναι σε θέση να εκτελεί μια σειρά κακόβουλων ενεργειών, όπως κλοπή ευαίσθητων δεδομένων και κρυπτογράφηση κρίσιμων αρχείων στο σύστημα κλπ.

Πώς μπορώ να προστατευτώ από κακόβουλο λογισμικό

Η προστασία ενός συστήματος Linux έναντι κάποιου κακόβουλου λογισμικού και άλλων προηγμένων σύγχρονων απειλών απαιτεί μια προληπτική, πολυεπίπεδη στρατηγική ασφάλειας.

Η πλειονότητα των επιθέσεων σε συστήματα Linux μπορεί να αποδοθεί σε εσφαλμένες διαμορφώσεις και κακή διαχείριση, καθιστώντας απαραίτητο οι διαχειριστές να παραμένουν σε εγρήγορση σχετικά με τη δοκιμή και την επαλήθευση της ασφάλειας των διακομιστών τους. Επιπλέον, συνιστούμε στους διαχειριστές να εφαρμόσουν κάποιες βέλτιστες πρακτικές ασφαλείας για την προστασία από fileless malware και άλλου τύπου malware. Έχουμε γράψει αρκετούς οδηγούς οπότε εδώ θα συνοψίσουμε κάποια βασικά πράγματα:

Βεβαιωθείτε ότι όλα τα λογισμικά και το σύστημά σας είναι ενημερωμένα.
Απεγκαταστήστε εφαρμογές που δεν χρησιμοποιούνται και απενεργοποιήστε περιττές υπηρεσίες και δυνατότητες συστήματος.
Περιορίστε τα δικαιώματα διαχειριστή – παραχωρήστε μόνο τα προνόμια που είναι απαραίτητα για να κάνει ο χρήστης τη δουλειά του.
Παρακολουθήστε την κίνηση του δικτύου και ελέγχετε συχνά τα αρχεία καταγραφής δραστηριότητας.

Επίλογος

Το fileless malware είναι μια αυξανόμενη απειλή για τους διαχειριστές των Linux συστημάτων. Το Linux θεωρείται ένα πολύ ασφαλές λειτουργικό σύστημα εν τη γενέσει του και δικαίως.

Με τις δικλείδες ασφαλείας του και το ότι ο κώδικάς τους παρακολουθείται από «πολλά μάτια» για ευπάθειες, οι χρήστες Linux είναι γενικά πολύ πιο ασφαλείς από τους αντίστοιχους που χρησιμοποιούν τα Windows.

Τούτου λεχθέντος, η ορθή διαχείριση και η εφαρμογή των βέλτιστων πρακτικών ασφάλειας μπορούν να βοηθήσουν στην αποτροπή επιθέσεων κακόβουλου λογισμικού και άλλων επικίνδυνων σύγχρονων εκμεταλλεύσεων που απειλούν συστήματα Linux.

πηγή